Post

[TR] NIST Phish Scale Oltalama Testlerinin Optimize Edilmesi

NIST Phish Scale: Oltalama Testlerinin Optimize Edilmesi 1

2020 yılında ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından akademik bir çalışma olarak ortaya çıkan ve halen geliştirilmekte olan Phish Scale bir Oltalama Test Zorluk Ölçeğidir. Hedefi kuruluşların çalışanlarına daha iyi eğitim vermesine yardımcı olmak ve çalışanların neden Oltalama maillerine tıkladıklarını daha iyi anlaması için yapılan analitik bir değerlendirme ölçeğidir.

Oltalama Nedir

Oltalama, suçluların insanları tehlikeli bir web sitesinin bağlantısına tıklamak gibi “yanlış olanı” yapmaları için kandırmaya çalışmasıdır. Oltalama, SMS, MMS, Sosyal Medya veya Telefon yoluyla gerçekleştirilebilir, ancak “Oltalama” terimi esas olarak e-posta yoluyla gelen saldırıları tanımlamak için kullanılır. Kurumlar, kendini korumak için her ne kadar spam filtreleri ve mail güvenliği sağlayan uygulamalar, URL analiz araçları gibi teknik önlemler kullansa da her zaman zararlı e-postaları tespit edemeyebilirler. Bu sebeple şirketler, çalışılanların bu tür saldırılara karşı eğitmek için Oltalama Testleri yapmaktadır.

Oltalama Testleri

Oltalama Testleri etkili bir şekilde yapmanın belli başlı zorlukları vardır. Testin etkili ve gerçekçi olmasını isterken, çalışanları bunaltmak, onlar için sorunlar yaratmak veya zorlamak istemezsiniz. Ayrıca tespitin imkânsız olmasını, kurum içi veya kurum dışı problemler oluşturmasını kesinlikle istemezsiniz. NIST’in Phish Scale’i ise oltalamanın tespit edilebilirlik sorununu çözmek için geliştirilmektedir. Zam beklenen bir zamanda prim, promosyon veya zam hakkında bir oltalama yapmak çok risklidir. Hem çalışanı rahatsız etmiş olursunuz hem de şirket içi sorunlar yaratabilirsiniz. 2022 yılında zam ve promosyon konuları hakkında Oltalama Testi yapan ve özür dilemek zorunda kalan şirketler oldu. Bu tür konulara hakkında test yapılacak ise yönetimden onay alınarak ilerlenmesi çok daha doğru olacaktır.

Phish Scale, oltalama testlerinin zorluğunu değerlendirmenize yardımcı olacak ve kullanımı kolay bir araç olarak sunulmaktadır. Yalnızca testlerin zorluğunu optimize etmenize yardımcı olmakla kalmaz, aynı zamanda önemli performans ölçümlerine odaklanabilmek için çalışanların güçlü ve zayıf yönlerine ilişkin bilgiler de sağlayabilir.

Oltalama Testlerinin çoğunda indikatör (KPI) olarak tıklama oranı kullanılır ve buna göre bir analiz oluşturulur, ancak bu pek yeterli olmaz. Phish Scale tıklama oranı dışında birkaç farklı KPI sunarak, derinlemesine bilgi edinmemize yardımcı oluyor. Bunu ise iki farklı veri setiyle gerçekleştiriyor;

  • Gözlemlenebilir İpuçları: Test gönderiminde yazım hatası, yanlış isim veya diğer yanlış içeriklerin sayısıdır. Çalışana bir oltalamanın sahte olduğuna dair kaç ipucu vardır sorusunu cevaplar.
  • Uyum/Bilinirlik: İşyeri süreçlerini, mevcut şirket olaylarını veya iş dışı gündem ile alakaları ne seviyededir diye bakılır. Çalışanın konu ile uyumu, bilinirliği ve tanınırlığı ne derecededir sorusunu cevaplar.

Bu veriler ile birlikte NIST, bir oltalama senaryosunun ne kadar zor olduğunu analitik olarak hesaplamaya çalışmaktadır.

Phish Scale’in Uygulanması

Gözlemlenebilir İpuçları, 5 temel başlık altında değerlendirilmektedir.

     
Yazım HatalarıGenel HatalarGörsel HatalarDil ve Anlam HatalarıTeknik Belirtiler

Bu kategorilerdeki örnekler yazım ve dil bilgisi düzensizlikleri, tutarsız e-posta adresi, logo taklidi, tehdit edici dil ve aciliyet hissi veren teklifler sayılabilir. Bu tür ipuçlarının toplam sayısı kullanılmaktadır.

Uyum/Bilinirlik, yine 5 temel başlık altında değerlendirilmektedir.

     
İşyeri sürecinin taklidiİşyeri ile alakasıGüncel durum ve olaylar ile alakasıTıklama için endişe ve süre ile endişe vermeHedeflenen eğitime veya özel uyarılara maruz kalma

Bu değerlendirmelerin her biri için “aşırı” (8 puan), “önemli” (6 puan), “orta” (4 puan), “düşük” (2 puan) veya “uygun değil” (0 puan) olarak derecelendirilmesi gerekmektedir. Daha sonra gözlemlenebilir ipuçları verisi ile birlikte değerlendirilip bize zorluk seviyesini verir.

Bu değerlendirmelerin her biri için “aşırı” (8 puan), “önemli” (6 puan), “orta” (4 puan), “düşük” (2 puan) veya “uygun değil” (0 puan) olarak derecelendirilmesi gerekmektedir. Daha sonra gözlemlenebilir ipuçları verisi ile birlikte değerlendirilip bize zorluk seviyesini verir.

Sonuçların Hesaplanması

Zorluk derecesini değerlendirmek için, öncelikle her bir Gözlemlenebilir İpucu örneğini saymanız gerekiyor (örneğin, her bir yazım ve dilbilgisi hatası). Toplamı ipucu sayısı bulunduktan sonra ise ipucu derecesini belirlemeniz gerekiyor.

Toplam Gözlemlenebilir İpuçlarıPhish Scale – İpucu Derecesi
1 – 8Az
1 – 8Biraz
15 ve fazlasıÇok

Ardından Uyum/Bilinirlik hesaplamaları için NITS Phis Scale iki farklı yol sunuyor,

  • Uyum/Bilinirlik konularının her biri için karşılık gelen derecesi ile hesaplama yapmak.
  • Herhangi bir hesap yapmadan, Yüksek, Orta ve Düşük olarak subjektif bir uyumluluk seçimi yapmak.

Image NIST Phish Scale Tanıtım Sunumundan alınmıştır.

Uyum/Bilinirlik Hesapları – Seçerek Hesaplama

Yüksek Uyumlu; Oltalama Testi, hedef kitlenin iş sorumlulukları veya uygulamalarıyla örtüştüğü, son derece makul olduğu ve/veya hedef ilgili bir olayla bağdaşan konulardır. Örneğin, alıcı finans departmanıysa ve oltalama mesajında ​​ödeme gecikmiş veya yapılmamışsa gibi konular işleniyorsa, genel uyum yüksektir.

Orta Uyumlu; Orta uyum iki farklı şekilde sağlanır, birincisi Oltalama testinin konusu makul ve mantıklı olması ama hedef ile ilişkisinin kuvvetli olmaması durumu. İkincisi ise, hedefin bir kısmı ile makul ve mantıklı bir oltalama konusu seçilmesi. Örneğin, Oltalama testinde Metaverse konusu işleniyorsa ve şirketin bir kısmı bu konu ile ilgileniyorsa, genel uyum orta seviyesindedir denebilir.

Düşük Uyumlu; Testin hedef kitlesi ile alakalı olmayan bir konu ile ilgili olduğunda uyum düşüktür. Örneğin, alıcı finans departmanıysa ve oltalama, biyoteknoloji araştırmaları veya benzer şekilde ilgisiz bir konu hakkında ise, genel uyum düşüktür.

Uyumluluk Hesapları – Puan ile Hesaplama

Diğer bir hesaplama yöntemi ise Uyumluğun 5 temel başlığına verilen puanlama ile yapılmaktadır. Subjektifliği azalttığı için bu yöntem daha çok tercih edilmektedir.

Uyum / BilinirlikPhish Scale – Uyum Derecesi
Aşırı Yüksek Düzeyde Uyum ve Alaka8
Yüksek Düzeyde Uyum ve Alaka6
Orta Düzeyde Uyum ve Alaka4
Düşük Düzeyde Uyum ve Alaka2
Uyum ve Alaka Yok0

Bu yöntem ile elde edilen sonuçlar -8 ile 32 arasında hesaplanacak şekilde derecelendirilmiştir. Hesaplama yönetimi ise aşağıdaki gibidir.

Uyum / BilinirlikPhish Scale – Uyum Derecesi
İşyeri sürecinin taklidi+ Toplama
İşyeri ile alakası+ Toplama
Güncel durum ve olaylar ile alakası+ Toplama
Tıklama için endişe ve süre ile endişe verme+ Toplama
Hedeflenen konu için eğitime veya özel uyarılara maruz kalma- Çıkarma

Gerekli hesaplamalar yapıldıktan sonra elde edilen sonuçları aşağıdaki tabloya göre derecelendirerek genel testin genel uyum derecesi bulunur.

Uyum / Bilinirlik - PuanıPhish Scale – Uyum Derecesi
-8 ve 10Düşük Uyumlu
11 – 17Orta Uyumlu
18 ve daha fazlasıYüksek Uyumlu

Yukarıda bahsedildiği gibi Uyum/Bilinirlik değerlendirmesi her ne kadar sayısal bir hesaplama olsa da temelinde subjektif bir yöntem ile hesaplanıyor. Yani oltalama uyumluluğu için farklı kişiler farklı Phish Scale hesaplamaları yapabilmektedir. Bu durum NIST makalelerinde de dile getirilmektedir ancak farklı araştırmacılar ile yapılan analizlerde subjektifliğin göz ardı edilebilir bir seviyede olduğu gözlemlenmiştir. A ynı şekilde Turkcell olarak da bunun göz ardı edilebilir olduğunu gözlemledik.

Test Zorluk Derecesinin Belirlenmesi

Uyum ve İpucu dereceleri belirlendikten sonra, aşağıdaki tabloyu kullanarak Oltalama testinin zorluk seviyesini kolayca belirleyebilirsiniz.

İpucu SayısıUyum DerecesiOltalama Zorluğu
Az (daha zor)YüksekÇok Zor
Az (daha zor)OrtaÇok Zor
Az (daha zor)DüşükOrta Derecede Zor
BirazYüksekÇok Zor
BirazOrtaOrta Derecede Zor
BirazDüşükOrtala ile Basit Arasında
Çok (zor değil)YüksekOrta Derecede Zor
Çok (zor değil)OrtaOrta Derecede Zor
Çok (zor değil)DüşükBasit

Bu şekilde yapılan veya yapmak istediğiniz bir oltalama testinin zorluğunu belirlemiş oluyorsunuz.

Image NIST Phish Scale Tanıtım Sunumundan alınmıştır.

Oltalama Sonuçlarının Değerlendirilmesi

Simülasyon NoOltalama AdıKatılımcıSaldırı VektörüToplam İpucuİpucu DerecesiUyum DerecesiUyum DerecesiZorluk DerecesiTıklama Oranı
1ABC15320Mail Link6Az20YüksekÇok Zor%10,11
2ABC25320Mail Link6Az22YüksekÇok Zor%8,09
3ABC35320Mail Link9Biraz18YüksekÇok Zor%9,66
4ABC45320Mail Link10Biraz24YüksekÇok Zor%7,52

Oltalama testlerini yaptıkça yukarıdaki gibi bir tablo elde edebilir ve kendinize göre eklemeler yaparak analizinizi daha da zenginleştirebilirsiniz. Oltalama Bildirim Oranı, Oltalama Konusu, Hedef Kitle, Veri giriş oranları gibi birçok veri ile besleyebilirsiniz.

Uyum subjektifliği dışında gördüğümüz önemli bir eksiklik ise saldırı vektörünün hesaplamalara dahil edilmemesidir. En basit tabiriyle SMS/MMS ile yapılan bir oltalamadaki (Smishing Testi) link gönderimi ile e-posta üzerinden gönderilen linkin inandırıcılığı ve zorluğu çok farklıdır. Aynı zamanda dosya eki ile yapılan bir test sadece link ile yapılan bir mail testinden çok daha zor olacaktır. Kısacası mükemmel bir ölçek değildir ancak kurumlar için güzel bir başlangıç olduracak olgunluktadır.

Bir Örnek Yapalım

Image Gerçek bir saldırı üzerinde deneyelim

Yukarıdaki örnek oltalama mailinde 6 tane kolayca Gözlenebilir İpucu bulunuyor bu da ipucu derece tablomuza göre, ipucu derecisini Az olarak belirlememizi sağlıyor.

Uyum/Bilinirlik seviyesi için ise Turkcell çalışanına yapılmış bir oltalama simülasyonu olarak değerlendirirsek, “Bir işyeri sürecini taklit eder” (+0 puan), “iş yeri alaka düzeyi” (+2 puan), “durumlar veya olaylarla uyum sağlar” (+4 puan), “Tıklamama endişesi” (+8 puan) ve “hedeflenen eğitim konusu” (-4 Puan), kişisel olarak değerlendirdiğim Uyum Derecesi toplamı 10 puan yapıyor ve uyumluluk derece tablomuza göre dereceyi Düşük olarak hesaplıyoruz.

Genel test değerlendirmesi için ise “Az” Gözlenebilir İpuçları ve “Düşük” Uyum Derecesi ile tabloya bakarsak, yukarıdaki Oltalama testinin Orta Derecede Zor” bir Oltalama testi olduğunu görüyoruz.

Kaynak

This post is licensed under CC BY 4.0 by the author.